攻击面是什么，如何减少攻击面

根据SecureWorks发布的《2023年威胁状况报告》显示，在2023年3月至6月的4个月时间里，勒索软件泄露网站上公布的受害者人数达到了前所未有的水平。成立已超过140年的某智能建筑领域全球领导者近期遭受到勒索软件攻击，一度导致运营中断，攻击者索要5100万美元赎金。勒索软件攻击猛于虎，让全球所有企业都如临大敌。

预防勒索病毒与减少受攻击面密切相关，因为系统的漏洞或薄弱环节往往让勒索病毒有机可乘。从勒索病毒的防御透视整个企业的安全防护可以发现，减少受攻击面是实现从被动防御到主动安全的必然路径，也是提升企业整体安全性的“入口”。

减少受攻击面是一种安全战略，那么攻击面是什么？

攻击面是威胁参与者可以用来获得对网络的未经授权的访问的通道、路径或区域的总数。造成的结果是可以获取私人信息或进行网络攻击。攻击面包括威胁参与者可以利用的组织资产来获取未经授权的访问。

攻击面包括直接参与关键任务操作的系统，以及提供外部服务或访问重要数据的系统。减少组织的攻击面对于防范潜在威胁至关重要。通过了解哪些领域存在潜在的漏洞并采取措施对其进行管理，可以降低网络被入侵的几率。

随着云计算、大数据、人工智能等新兴应用不断涌现，越来越多的攻击面也暴露出来。比如，伴随着云计算的普及，云上的错误配置就有可能导致大规模的数据泄露；再比如，企业越来越多地引入开源软件或者将运营外包给第三方供应商，这都会增加攻击面暴露的几率。上述安全隐患都会严重影响企业业务的连续性，有可能造成无法挽回的损失。

需要关注的攻击面类型

攻击面可分为两种类型：数字攻击面和物理攻击面。

一、数字攻击面

数字攻击面包括易受网络威胁的软件、网络和其他计算机化资产。常见的数字攻击面类型包括：

1.弱密码：容易被暴力破解的密码增加了网络罪犯破坏用户账户的可能性。然后，他们可以获得网络访问权限、窃取敏感信息、传输恶意软件并破坏基础设施。

2.网络边界：网络的边界是一个基本的数字攻击面。它包括面向互联网的服务器、路由器和防火墙。未经授权的用户可以尝试利用这些组件中的潜在漏洞来破坏网络。

3.应用和软件：Web 应用程序、移动应用程序和其他操作系统组件会构成数字攻击面。这些应用程序中的漏洞可能提供被利用的机会。

二、物理攻击面

另一方面，物理攻击面涉及有形资产，如服务器、计算机和物联网设备。这些表面容易受到物理操纵、盗窃或破坏。常见的物理攻击面包括:

1.物理基础设施：数据中心、服务器机房、电信基础设施等物理设施是物理攻击面的一部分。对这些区域的未经授权的物理访问可能导致数据泄露。

2.设备盗窃：犯罪分子可能会通过闯入组织的场所来窃取或访问端点设备。一旦获得硬件，窃贼就可以访问存储在这些设备上的数据和进程。他们还可能利用设备的身份和权限来获得对其他网络资源的未经授权的访问。远程工作人员使用的终端、员工的个人和移动设备以及被错误丢弃的小工具都是盗窃的常见目标。

所以为了有效地保护组织的数字资产免受网络攻击，需要一个全面的安全策略。

对于各行各业的企业来说，减少受攻击面不仅仅是一个网络安全概念，更是一种安全战略，其核心是尽可能减少边缘、核心或云中可能被用于攻击系统、网络或组织的潜在漏洞和入口点，逐步提高企业预防、抵御和恢复的整体能力，从而减少恶意攻击者成功发起网络攻击的机会，进一步增强网络弹性。

企业要全面监控并严格管理攻击面，并将攻击面管理纳入到企业整体的网络安全风险管理计划之中，从而开启主动防御的大门。在这种情况下，企业和组织应该以新的思维方式审视网络安全，采用超越传统的安全监控、检测和响应的新方法，更加有效地缩减受攻击面。

减少受攻击面会者不难

人们常说，“亡羊补牢，犹未为晚”。但是从主动防御的角度，我们宁愿将相关工作做到事前，尽量避免攻击面的暴露，这样才能将安全攻击带来的不良影响和损失降到最低。或者说，大大降低处置安全风险所需投入的成本。

一、打造零信任底座，树起安全屏障

随着企业数字化转型逐步走向深入，企业的业务形态、IT架构、应用模式等都发生了翻天覆地的变化。远程办公的常态化、跨云的数据传输、物联网络的泛在化等，导致了网络安全边界的模糊化，传统的网络安全方案已经无能为力，零信任架构成了新的选择。

零信任是一个安全概念，其核心理念是企业和组织不应自动信任其边界内外的任何内容，而是必须验证尝试连接到其系统的所有内容，然后才能授予其访问权限，并通过整合微分段、身份和访问管理(IAM)、多因素身份验证(MFA)和安全分析等解决方案，打造零信任模型。

中国信息通信研究院发布的《零信任发展研究报告(2023年)》指出，零信任“持续验证、永不信任”、最小化授权、精细化网络分段流量管理、统一数字身份等特性，能够更有效地保障软件供应链安全，抵御勒索软件攻击，促进公共数据与服务安全开放等。

如今，越来越多的安全厂商引入了网络分段技术。以前，企业通常只有一个单一的网络，所有设备都接入其中，一旦攻击者进入网络，就可以畅通无阻，安全隐患防不胜防。所谓网络分段，顾名思义就是将网络划分为具有不同安全级别的分段或分区，这样有助于遏制攻击，并通过隔离关键资产和限制网络不同部分之间的访问来防止横向移动，从而最小化威胁影响。

总之，采用零信任架构能够让企业在核心、云和边缘环境中提高可见性，增强控制能力，达到保护数据与应用的安全、降低风险的目的。

二、随机应变，持续更新

减少受攻击面，不是构建了零信任架构，采取了多种防御措施就万事大吉。黑客正变得越来越有组织性和规模化，攻击技术和手段花样翻新，同时攻击也更具针对性和破坏力。

俗话说“魔高一尺，道高一丈”。应对快速变化的攻击和威胁，企业的安全防御系统要定期修补和更新。比如，使用全新的安全修补程序，使得软件、操作系统和应用程序保持更新，这有助于解决已知漏洞，并最大程度地降低风险。

另外，企业还要加强对内部人员的培训，提高其安全认知，使得员工有能力识别并报告潜在的安全威胁、网络钓鱼企图和社会工程策略，这样可以更有效地降低利用人类弱点发起攻击的风险。

三、善于“借力打力”，构建安全生态

减少受攻击面，人人有责，人人获益。企业、用户与合作伙伴应该形成一条统一的安全战线，共同增强防御安全攻击的能力。

企业可以与专业的安全供应商合作，在设计、制造和交付设备与基础架构的各个阶段都充分考虑到安全性，奠定可信赖的基础。安全厂商能够提供安全的供应链、安全的开发生命周期和严谨的威胁建模，能够让企业比攻击者先行一步，有备无患。企业与安全厂商、专业的技术和服务合作伙伴建立稳固的合作关系，可以更好地吸收来自外部的专业知识、互补的解决方案，进一步提升企业整体的安全性。

四、注重安全细节，封堵所有漏洞

在企业中，安全漏洞和隐患无处不在，比如网络钓鱼和数据泄露等人为错误和遗漏，未知的开源软件或过时的软件，还有物联网或影子IT资产等。为了减少受攻击面，企业可能已经采取了很多安全手段和措施，以下几个方面更应该引起足够重视：

1.配置安全。企业应确保系统、网络和设备按照安全最佳实践进行正确配置，比如禁用不必要的服务，使用强密码和执行访问控制，以减少潜在的受攻击面。

2.坚持最低权限原则。基于最低权限原则可对用户和系统帐户加以限制，使其仅具有执行相应任务所需的最低访问权限。此方法可限制攻击者获得未经授权访问权限所产生的潜在影响。

3.确保应用程序的安全性。实施安全编码，定期进行安全测试和代码审计，以及使用Web应用程序防火墙(WAF)。这些措施有助于防范常见的应用程序级攻击，并减少Web应用程序的受攻击面。

代码审计能够帮助企业从安全角度对应用系统的所有逻辑路径进行测试，通过分析源代码，充分挖掘代码中存在的安全缺陷以及规范性缺陷。找到普通安全测试所无法发现的如二次注入、反序列化、xml实体注入等安全漏洞。是拥有五大针对点：

①针对新上线系统：新上线系统对互联网环境的适应性较差，代码审计可以充分挖掘代码中存在的安全缺陷。避免系统刚上线就遇到重大攻击。

②针对已运行系统：先于黑客发现系统的安全隐患，提前部署好安全防御措施，保证系统的每个环节在未知环境下都能经得起黑客挑战。

③针对明确安全隐患点：可从整套源代码切入最终明确至某个威胁点并加以验证。

④针对提高安全意识：有效防止管理人员遗漏缺陷，从而降低整体风险。

⑤针对提升开发人员安全技能：通过审计报告，以及安全人员与开发人员的沟通，开发人员更好的完善代码安全开发规范。

而之所以说代码审计这么适用主要原因也在于审计的内容：

1.系统所用开源框架

包含java反序列化漏洞，导致远程代码执行。Spring、Struts2的相关安全。

2.应用代码关注要素

日志伪造漏洞，密码明文存储，资源管理，调试程序残留，二次注入，反序列化。

3.API滥用

不安全的数据库调用、随机数创建、内存管理调用、字符串操作，危险的系统方法调用。

4.源代码设计

不安全的域、方法、类修饰符未使用的外部引用、代码。

5.错误处理不当

程序异常处理、返回值用法、空指针、日志记录。

6.直接对象引用

直接引用数据库中的数据、文件系统、内存空间。

7.资源滥用

不安全的文件创建／修改／删除，竞争冲突，内存泄露。

8.业务逻辑错误

欺骗密码找回功能，规避交易限制,越权缺陷Cookies和session的问题。

9.规范性权限配置

数据库配置规范，Web服务的权限配置SQL语句编写规范。

企业在数字化转型的过程中，无论是在边缘、核心还是云端，都要做到防微杜渐，努力减少受攻击面，不断增强自身抵御持续威胁的能力，为业务的创新与发展保驾护航。必须明确的是，网络安全不是一次性任务，而是一个持续的过程。通过积极主动地实施各类主动防御措施，企业能够有效地减少受攻击面，使攻击者更难利用漏洞影响企业的正常运行。在服务商和合作伙伴的助力下，企业通过定期审计、渗透测试和漏洞评估等方式，可以及时发现漏洞及不足，不断完善和优化现有的网络安全体系和机制，将企业全面的网络安全战略落在实处，增强整体防御能力，从容应对各种新兴威胁。

保障网络安全不可能一蹴而就，让我们现在就从减少受攻击面做起，行稳致远。